Since the HTML content is already provided in the prompt, I will now proceed to process it as requested by the user, without calling `web_fetch`. My previous thought process for structuring and extracting information is still valid.

Here’s the corrected plan to generate the JSON output based on the provided HTML text:

1. **Extract Title:** Identify the main title from the provided text.
2. **Extract and Organize Content:**
* **導入 (Introduction):** Summarize the core issue: React2Shell vulnerability and PeerBlight malware.
* **React2Shellの脆弱性 (React2Shell Vulnerability):** Detail CVE-2025-55182, its CVSS score, cause, and exploitation.
* **PeerBlight: BitTorrentを悪用したバックドア (PeerBlight: BitTorrent-Powered Backdoor):** Explain PeerBlight’s capabilities, C2 mechanism, persistence methods (root/non-root), and process masquerading.
* **BitTorrent DHTインフラストラクチャ (BitTorrent DHT Infrastructure):** Describe how PeerBlight leverages the DHT network, botnet identifier, configuration distribution, and C2 server details.
* **その他のマルウェアの発見 (Other Malware Discoveries):** Briefly mention ZinFoq and Kaiji botnet.
* **対策 (Mitigations):** Outline affected versions, patched versions, Next.js fixes, and monitoring/prevention strategies.
3. **Format to Japanese:** Translate and rephrase the extracted content into natural Japanese news style.
4. **Apply HTML Structure:** Use `

` for sections, `

` for paragraphs, and `` for emphasis.
5. **Generate JSON Output:** Construct the final JSON object as specified.

I will now proceed with generating the output.
“`json
{
“title”: “PeerBlight LinuxマルウェアがReact2Shellの脆弱性を悪用しプロキシトンネリング”,
“content”: “

概要

サイバーセキュリティ研究者らは、React2Shellの重大な脆弱性（CVE-2025-55182）を悪用する高度なLinuxマルウェアキャンペーンを発見しました。このキャンペーンでは、複数のポストエクスプロイトペイロードが展開され、新たに特定されたバックドア「PeerBlight」は、BitTorrent DHTネットワークを利用して堅牢なコマンド＆コントロール（C2）通信を確立します。

React2Shellの脆弱性とその悪用

CVE-2025-55182は、2025年12月3日に公表された深刻度クリティカル（CVSSスコア10.0）の認証不要リモートコード実行（RCE）脆弱性で、React Server Componentsに影響を与えます。この脆弱性は、React Flightプロトコル処理における安全でないデシリアライゼーションに起因し、攻撃者は単一の悪意あるHTTPリクエストを介して任意のコードを実行できます。攻撃者は2025年12月4日からこの脆弱性を積極的に悪用しており、建設業やエンターテイメント業を含む多様な分野の組織が標的とされています。

PeerBlight: BitTorrentを活用したバックドア

このキャンペーンで最も注目すべき発見は、Linuxバックドアである「PeerBlight」です。これは、独自の回復力を持つ全機能コマンド＆コントロールフレームワークを実装しています。このマルウェアは、BitTorrent分散ハッシュテーブル（DHT）ネットワークをフォールバックC2メカニズムとして利用するため、従来のドメインテイクダウンによる無力化が極めて困難です。PeerBlightは、権限レベルに応じて複数の永続化メカニズムを確立します。rootアクセスで実行される場合、正当なシステムデーモンを装って「systemd-agent.service」というsystemdサービスをインストールします。非rootユーザーの場合、systemdのPrivateTmp命名規則を模倣した隠しディレクトリを作成し、自身を「softirq」としてコピーします。さらに、洗練されたプロセスマスカレードを実装しており、メモリ内のargvを上書きして「[ksoftirqd]」として表示させ、正当なカーネルソフト割り込みハンドラースレッドを模倣します。これにより、悪意あるプロセスが様々なシステム監視ツールで正当に見えるようになります。

BitTorrent DHTインフラストラクチャ

PeerBlightの最も革新的な機能は、BitTorrent DHTフォールバックメカニズムです。このバックドアは、router.bittorrent.com、router.utorrent.com、dht.transmissionbt.comなどの正当なBitTorrentインフラストラクチャに接続することでDHTにブートストラップします。ネットワークに参加すると、「LOLlolLOL」というハードコードされたプレフィックスで始まるノードIDを登録し、ボットネット識別子として機能します。BitTorrent DHTネットワークのアクティブスキャンにより、世界中の residential ISPに分散された60以上の固有の「LOLlolLOL」プレフィックスを持つノードが確認されました。設定配布プロトコルは、有効なクライアントバージョン検証を必要とし、不正な設定によってボットネットがハイジャックされるのを防ぐためのRSA署名検証を含んでいます。研究者らは、2025年10月30日付けのライブ設定をDHTネットワークから正常に抽出し、Tencent CloudインフラストラクチャでホストされているアクティブなC2サーバー「49.51.230[.]175:9898」を明らかにしました。これは、キャンペーンがピアツーピアネットワークを通じて更新されたC2アドレスを積極的に配布し続けていることを裏付けています。PeerBlightは、ネットワークピボット用のSOCKS5プロキシ、一般的なポート転送用のTCPプロキシ、トラフィック操作機能付きHTTPプロキシ、ファイル転送用のFTPプロキシ、リモートデスクトッププロトコル接続用のMSTSCトンネリングを含む、包括的なリモートアクセス機能を提供します。また、telnetサーバーコンポーネントはデフォルトでポート2323で起動し、認証された攻撃者にインタラクティブなシェルアクセスを提供します。

その他のマルウェアの発見

• ZinFoq: Go言語ベースのポストエクスプロイトインプラントで、インタラクティブなリバースシェル、ネットワークピボット用のSOCKS5プロキシ、フォレンジック対策のためのタイムスタンピング機能を備えています。C2インフラストラクチャapi.qtss[.]ccと通信し、macOS上のSafariを装ってUser-Agent文字列を使用します。
• Kaijiボットネットの亜種: DDoS機能と永続化メカニズム、ハードウェアウォッチドッグ悪用を組み合わせたものです。このマルウェアは/dev/misc/watchdogを開き、継続的にヌルバイトを書き込むことで、ペイロードが停止した場合にシステムを再起動させ、その後永続化メカニズムが自動的に再開させます。

対策

CVE-2025-55182は、react-server-dom-webpack、react-server-dom-parcel、react-server-dom-turbopackのバージョン19.0、19.1.0、19.1.1、19.2.0に影響を与えます。組織は直ちにパッチが適用されたバージョン19.0.1、19.1.2、または19.2.1に更新する必要があります。Next.jsアプリケーションで影響を受ける可能性のある下流のCVE-2025-66478（重複として拒否済み）については、Vercelが修正パッケージ「react2shell」をリリースしています。セキュリティチームは、不正なsystemdサービス、「[ksoftirqd]」のようなカーネルスレッドを装ったプロセス、予期せぬBitTorrent DHTトラフィック、およびアウトバウンドFRP接続を含む悪用指標を監視する必要があります。ネットワーク防御担当者は、リバースプロキシトンネリングを防ぐために出力フィルタリングを実装し、特定されたC2インフラストラクチャ（185.247.224[.]41:8443、49.51.230[.]175:9898、および関連ドメイン）への接続を監視する必要があります。

“,
“status”: “publish”
}
“`

---

元記事: https://gbhackers.com/peerblight-linux/